La Comisión Europea ha adoptado este jueves el primer acto de ejecución sobre ciberseguridad de redes y entidades críticas bajo la Directiva europea sobre medidas para un alto nivel común de ciberseguridad en toda la Unión Europea (Directiva NIS2).
El acto de ejecución adoptado establece los requisitos técnicos y metodológicos de las medidas de la Directiva NIS2 de gestión de riesgos de ciberseguridad para entidades y redes críticas. Detalla los casos en los que un incidente debe considerarse significativo y las empresas que proporcionan infraestructuras y servicios digitales deben notificarlo a las autoridades nacionales.
Se aplicará a categorías específicas de empresas de servicios digitales, como proveedores de servicios de computación en la nube y de servicios de centros de datos, mercados online, motores de búsqueda online o plataformas de redes sociales. Para cada categoría, la norma especifica cuándo se considera que un incidente es significativo, a quién debe notificarse y en qué plazo.
Los Estados miembros deberán asegurar el cumplimiento de la Directiva NIS2
La adopción del acto de ejecución coincide con la fecha límite para trasponer la Directiva NIS2 a la legislación nacional de los diferentes Estados miembros de la UE. Desde el 18 de octubre de 2024, todos los países comunitarios deberán aplicar las medidas necesarias para el cumplimiento de la Directiva NIS2 de ciberseguridad, incluidas medidas de supervisión y ejecución.
El acto de ejecución se publicará en el Diario Oficial de la Unión Europea y entrará en vigor 20 días después.